Si vous êtes basé dans ou hors de l’Union européenne et que vous interagissez avec des données personnelles de citoyens britanniques, vous avez besoin d’un représentant au Royaume-Uni. Nos experts vous accompagnent dans votre démarche.
Le 28 juin 2021, la Commission européenne a adopté des décisions sur l’adéquation du Royaume-Uni au Règlement Général sur la Protection des Données (RGPD) et à la Directive sur l’application de la loi (LED) de l’UE. Dans les deux cas, la Commission européenne a considéré que le Royaume-Uni était en adéquation avec ces deux textes. Cela signifie que la plupart des données peuvent continuer de circuler depuis le Royaume-Uni sans qu’il soit nécessaire de mettre en place des garanties supplémentaires.
Toutefois, les décisions d’adéquation ne couvrent pas les données transférées au Royaume-Uni quand elles sont :
Pour ce type de données, des règles différentes s’appliquent et l’expéditeur doit mettre en place d’autres garanties de transfert.
Une décision d’adéquation est une décision formelle prise par l’UE qui reconnaît qu’un autre pays, territoire, secteur ou organisation internationale assure un niveau de protection des données personnelles équivalent à celui de l’UE.
Le 28 juin 2021, la Commission européenne a publié deux décisions d’adéquation concernant le Royaume-Uni :
Ces décisions émises par la Commission européenne restent en vigueur jusqu’au 27 juin 2025.
La Commission européenne reprendra le dossier en 2024 pour décider s’il convient de les prolonger pour une période supplémentaire de quatre ans maximum, ou non.
La décision d’adéquation indique que le Royaume-Uni fournit une protection adéquate en termes de protection des données personnelles, quand celles-ci sont transférées de l’UE vers le Royaume-Uni.
Toutefois, les transferts de données à des fins de contrôle concernant l’immigration britannique, ou relevant de l’exemption relative à l’immigration dans la DPA 2018, sont exclus du champ d’application de la décision d’adéquation.
La décision d’adéquation de la DEL indique également que le Royaume-Uni offre une protection adéquate des données à caractère personnel transférées par les autorités de l’UE chargées de la prévention, de la recherche, de la détection ou de la poursuite d’infractions pénales ou de l’exécution de sanctions pénales.
Si vous êtes basé au Royaume-Uni et ne disposez pas d’une succursale, d’un bureau ou d’un autre établissement dans l’un des États membre de l’UE ou de l’EEE, mais que vous :
alors vous devez toujours vous conformer au RGPD en ce qui concerne ces traitements de données à caractère personnel.
Si vous ne disposez pas d’un établissement dans l’UE ou l’EEE, le RGPD vous oblige à désigner un représentant. Ce représentant doit être établi dans un État de l’UE ou de l’EEE où se trouvent les données personnelles que vous traitez.
Vous devez, par écrit :
En cas de demande ou de contrôle de la part des autorités, les coordonnées du représentant doivent être facilement accessibles et trouvables.
Votre représentant peut être un individu, une société, un cabinet de conseil ou une organisation établie dans l’EEE, et doit être en mesure de vous représenter en ce qui concerne vos obligations à la mise en conformité au RGPD.
Si vous êtes concernés, nous vous invitons à consulter notre page « Représentant UE », et à nous contacter.
Le Royaume-Uni a été un Etat membre de l’Union européenne jusqu’au Brexit qui est entré en vigueur le 1er janvier 2021. Ainsi, le Royaume-Uni a été soumis au RGPD et l’a implémenté dans sa propre loi locale. Ceci explique pourquoi le rôle de représentant UE connait un « double », ou un « miroir » au Royaume-Uni, en la personne du représentant au Royaume-Uni.
Si vous êtes basé en dehors du Royaume-Uni et n’avez pas de succursale, bureau ou autre établissement au Royaume-Uni, mais que vous :
vous devez vous conformer au RGPD britannique concernant ces traitements de données. Cette conformité passe par la désignation d’un représentant au Royaume-Uni.
Vous devrez, par écrit, autoriser le représentant à agir en votre nom en ce qui concerne votre mise en conformité au RGPD britannique, et à traiter avec l’ICO et les personnes concernées. Le représentant peut prendre plusieurs formes : une personne physique, une société, un cabinet de conseil ou encore une organisation établie au Royaume-Uni. Le fait d’avoir un représentant n’affectera pas votre propre responsabilité ou votre responsabilité en vertu du RGPD britannique.
Exemple :
Une société de vente de produits basée dans l’EEE n’a pas de bureaux au Royaume-Uni, mais a une clientèle régulière là-bas. La société doit nommer un représentant britannique qui sera son contact direct avec les personnes concernées et l’ICO.
L’entreprise devra inclure le nom de son représentant dans les informations qu’elle fournit aux personnes concernées. Elle n’est pas tenue d’informer l’ICO, mais les coordonnées du représentant au Royaume-Uni doivent être facilement accessibles pour l’organe de contrôle.
En vertu de l’article 27 du RGPD, un représentant UE doit être désigné par une entreprise (responsable du traitement des données ou sous-traitant) sans établissement dans l’UE si elle vend des biens / services à destination de cette zone, ou si elle ou surveille des personnes / entreprises.
En application du RGPD britannique, une entreprise sans établissement au Royaume-Uni qui vend ou surveille des personnes / entreprises dans ce pays est dans l’obligation de nommer un représentant au Royaume-Uni.
Il en résulte que les entreprises non-établies dans l’UE ou au Royaume-Uni mais traitant des données personnelles de citoyens britanniques devront désigner les deux.
Résumé de la situation actuelle et de l’après-Brexit
| Contrôleur | Vendre uniquement au Royaume-Uni | Vendre uniquement en Union européenne | Vendre au Royaume-Uni et dans l’Union européenne |
| Seulement au Royaume-Uni | Rien | Un Représentant UE est requis | Un Représentant UE est requis |
| Seulement dans l’Union européenne | Un Représentant du Royaume-Uni est requis | Rien | Un Représentant du Royaume-Uni est requis |
| Seulement dans le reste du monde | Un Représentant du Royaume-Uni est requis | Un Représentant UE est requis | Un Représentant UE et du Royaume-Uni sont requis |
| Au Royaume-Uni et en Union européenne | Rien | Rien | Rien |